Datenschutzerklärung

Verantwortlich im Sinne der DSGVO ist die im Impressum genannte Stelle.

Account-Daten bei Registrierung: E-Mail-Adresse (Pflicht), optional Landeskennung (Pflichtfeld bei Registrierung aus der EU/EWR/CH), UI-Sprache (NEXT_LOCALE).

Profil-Daten: selbstberichtete Angaben wie Altersgruppe und biologisches Geschlecht (für biomarkerspezifische Referenzbereiche). Gesundheitsdaten wie Blutwerte, Erkrankungen oder Medikamente nur nach gesonderter Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).

Nutzungsdaten: Coach-Chat-Verläufe, Gewohnheits-Abschlüsse, Lektionen-Fortschritt; bei Nutzung der Sprachfunktion Audio-Transkripte (Art. 9 DSGVO, separate Einwilligung).

Zahlungsdaten: auf unserer Seite speichern wir ausschließlich die Stripe-Kunden-ID. Kreditkarten- und Kontodaten liegen bei Stripe.

Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO für den Kernbetrieb des Dienstes (Account, Coach, Tracking, Abrechnung).

Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO für optionale Verarbeitungen (Sprachfunktion, Forschungs-/Produktverbesserungsdaten, Marketing-E-Mails).

Ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO für die Verarbeitung von Gesundheitsdaten (Biomarker, Symptome, Erkrankungen).

Wir setzen die folgenden Auftragsverarbeiter ein. Für jede Übermittlung in ein Drittland besteht ein Angemessenheitsbeschluss oder ein Standardvertragsklausel-Vertrag (SCC 2021/914).

• Stripe Payments Europe, Ltd. — Irland (EU). Zahlungsabwicklung.
• Resend — Irland (EU). Transaktions-E-Mails (Bestätigung, Widerruf, Passwort-Reset).
• Supabase — eu-central-2 (Zürich, Schweiz). Datenbank, Authentifizierung und Storage.
• Anthropic — USA. KI-Coach-Inferenz. SCC-Hinweis: Übermittlung gestützt auf EU-SCC 2021/914. Prighter-Review nach Launch vorgesehen.
• OpenAI — USA. Sprach-Transkription und -Ausgabe (nur bei aktivierter Sprachfunktion). SCC-Hinweis wie oben.
• Vercel — USA. Hosting. SCC-Hinweis wie oben.

Account-Daten werden innerhalb von 30 Tagen nach bestätigter Löschanfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Abrechnungsrelevante Daten (Rechnungen, Zahlungsbelege) werden 10 Jahre gemäß §147 AO aufbewahrt.

Audit-Logs (sicherheitsrelevante Ereignisse) werden 12 Monate gespeichert.

Du hast nach der DSGVO jederzeit das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie auf Widerruf einmal erteilter Einwilligungen für die Zukunft (Art. 7 Abs. 3).

Anfragen richte bitte an die im Impressum genannte Kontaktadresse.

Du hast das Recht, dich bei der für dich zuständigen Datenschutz-Aufsichtsbehörde zu beschweren — in der Regel die Landesdatenschutzbehörde deines Wohnsitz-Bundeslandes.

Wir setzen die folgenden Cookies:

• NEXT_LOCALE — speichert deine UI-Sprache (technisch notwendig, §25 Abs. 2 TTDSG).
• EVIDALIFE_THEME — speichert deine Darstellungs-Wahl (hell/dunkel; technisch notwendig, §25 Abs. 2 TTDSG).
• sb-access-token, sb-refresh-token — Supabase-Auth-Sitzungscookies (technisch notwendig).

Wir setzen keine Drittanbieter-Marketing- oder Tracking-Cookies.

Daten werden bei der Übertragung mit TLS 1.2+ verschlüsselt und im Ruhezustand in der Schweiz (EU-Angemessenheitsbeschluss) bzw. EU gespeichert (Supabase eu-central-2, Zürich, Schweiz). Der Zugriff auf Produktionsdaten ist auf das dafür notwendige Personal beschränkt und protokolliert.

Eine gesetzliche Pflicht zur Bestellung einer/eines Datenschutzbeauftragten besteht für uns derzeit nicht. Anfragen zum Datenschutz richtest du an privacy@evidalife.com.